Türkiye'de WhatsApp pazarlama compliance — 2026 saha rehberi

Türkiye'de WhatsApp pazarlama 4 yasaya tabi

1. 6698 — KVKK (kişisel veri)
2. 6563 — ETK (e-ticaret + ticari elektronik ileti)
3. IYS (Ticari Elektronik İleti Yönetim Sistemi) zorunlu kayıt
4. Meta WhatsApp Business Policy (Meta'nın kendi kuralları)

Çoğu firma KVKK'ya odaklanıyor ama ETK + IYS daha pratik etki yapar: yanlış broadcast → 5.000-100.000 ₺ ceza per gönderim.

1. IYS (Ticari Elektronik İleti) kaydı

IYS = Bakanlığın 2020'de kurduğu merkezi onay yönetim sistemi. iys.org.tr'de hesap aç.

Zorunluluk:

• WhatsApp broadcast atan her firma IYS'ye kayıtlı olmalı
• Müşterinizden önce IYS onayı almadan toplu mesaj yasak
• IYS'den müşteri "ret" derse 3 gün içinde sistemden çıkarılmalı

LeadsUp'ta entegrasyon:

• Yeni kullanıcı portal'a numara verdiğinde otomatik IYS sorgu (is_iys_consented?)
• Onayı yoksa broadcast listesine eklenmez
• IYS webhook → real-time consent sync

2. Onay (opt-in) çeşitleri

3 farklı onay tipi:

A. Form-based (en yaygın)

Müşteri sitede form doldurur, checkbox işaretler:

<label>
  <input type="checkbox" name="consent" required>
  WhatsApp'tan ticari ileti almayı kabul ediyorum (IYS kayıt: 3 gün içinde)
</label>

Önemli: Checkbox boş başlamalı, müşteri tıklayarak onayasın. Pre-checked = geçersiz (KVKK + ETK).

B. WhatsApp QR kodu

Müşteri QR'ı tarar → WhatsApp açar → "Merhaba" yazar → bot ilk mesajda aydınlatma + onay sorar:

Bot: Merhaba! Akın Emlak'a hoş geldiniz. Size daha iyi hizmet
verebilmemiz için iletişim verilerinizi saklamamıza izin verir
misiniz? (Detaylı bilgi: akinemlak.com/kvkk)

[Onaylıyorum] [Hayır teşekkür ederim]

Onay verilirse users.kvkk_consent_at = NOW() + IYS kaydı.

C. CTWA (Click-to-WhatsApp ad)

Meta reklam üzerinden gelen kullanıcılar için implicit onay var (Meta'nın referral.source_type). Yine de ilk mesajda explicit onay almak güvenli — bot 2 saniyede sorabilir.

3. Onay olmadan ne yapılabilir?

ETK kapsamı dışında olanlar:

• Service messages (sipariş onayı, kargo bildirimi, randevu hatırlatma) — onaysız OK
• Authentication (OTP) — onaysız OK
• 24h penceresinde müşteri-initiated konuşmaya cevap — onaysız OK

ETK kapsamına girenler (onay zorunlu):

• Marketing campaign (indirim, yeni ürün, kampanya) — IYS onayı şart
• Broadcast template kategorisi marketing — onay şart
• Newsletter (haftalık bülten) — onay şart

LeadsUp'ta template oluştururken kategori seçimi → kategori marketing ise system uyarısı: "Bu template için IYS onayı zorunludur. Audience filter'da iys_consented=true kullanın."

4. Aydınlatma metni (KVKK md. 10)

İlk mesajda otomatik:

Sayın {{name}},

{{firma_adı}} olarak bu sohbette paylaştığınız bilgileri sizinle
iletişim kurmak ve hizmet sunmak amacıyla işliyoruz (KVKK 6698 madde 5/c).

Verileriniz {{retention_period}} sonra silinir veya istediğiniz anda
silme talebinde bulunabilirsiniz: privacy@{{domain}}.

Detaylı aydınlatma metni: {{kvkk_url}}

Devam etmek için "Devam" yazın.

LeadsUp template hazır — 4 sektör için (emlak, e-ticaret, hizmet, genel).

5. Veri silme talebi (KVKK md. 11)

Müşteri "verilerimi silin" derse:

1. Bot mesajı regex + intent ile tespit eder
2. transfer_to_agent çağrılır + tag data_deletion_request
3. Agent panelden "Onayla" tıklar
4. 30 gün maks. süre içinde silinir (LeadsUp default async, 5dk içinde):
   • users row delete (cascade messages, conversations)
   • audit_logs'tan PII redaction
   • Backup'lardan da silme (7 gün backup retention sonrası otomatik)

Önemli: "Sildim" demek kanıt gerektirir. LeadsUp audit_logs.event_type='kvkk_deletion_completed' ile kanıt log'u tutar.

6. ETK § 7/A: "Ticari ileti gönderiminden hemen önce gönderici bilgisi"

Her broadcast mesaj template'inde firma adı + iletişim bilgisi:

✅ İyi:

[Akın Emlak] Sayın Bayım, Caferağa'da yeni 3+1 ilan çıktı.
Detay: akinemlak.com/yeni-ilan
İptal için "ÇIK" yazın.

❌ Kötü:

Merhaba! Yeni ürünlerimiz var. Detay için tıklayın.
[Firma adı yok, iptal seçeneği yok → ceza]

7. Meta WhatsApp Business Policy

Meta'nın kendi kuralları — Türkiye yasalarına ek:

• Spam: Aynı mesajı 5+ farklı numaraya kısa sürede atmak → numara askıya alınır
• Promotional aşırılığı: Template marketing kategorisinde ay başına maksimum 1-2 broadcast önerilir (Meta dahili kural)
• Yasal dil: Aydınlatma metni Türkçe + İngilizce zorunlu (multi-lingual müşteri için)
• Opt-out: Template'de "ÇIK" yazma seçeneği zorunlu, bot bunu tespit edip user bot_active=false yapmalı

8. Ceza miktarları (2026 güncel)

İhlal	Ceza
Onaysız ticari ileti	1.500 ₺ - 25.000 ₺ per gönderim
IYS kayıt yapılmaması	10.000 ₺ - 100.000 ₺
KVKK aydınlatma yok	5.000 ₺ - 1.000.000 ₺ (kurumsal)
Veri silme talebi 30g aşımı	5.000 ₺ - 100.000 ₺
Aşırı + kanun ihlali iddia	100.000 ₺ - 1.000.000 ₺ + işyeri kapatma

Pratik: Yıllık 10-20 müşteri şikâyeti → toplam 100k+ ₺ ceza. IYS kayıt + onay sistemi şart.

LeadsUp ile compliance — checklist

LeadsUp /dashboard/launch-check 7 madde kontrol eder:

• IYS hesabı bağlı mı?
• KVKK aydınlatma template aktive mi?
• Privacy URL set mi (/legal/privacy)?
• Veri silme endpoint çalışıyor mu?
• Audit logging aktif mi (180g retention)?
• Sub-processor listesi DPA içinde mi?
• Footer'da "Bot olduğunu açıklama" var mı?

Hepsi ✓ → "Compliance ready" rozet.

Hatalar — kaçınılan

1. Pre-checked consent box. Form çift checkbox (KVKK + ETK) ayrı + boş başlamalı.

2. Marketing template'ini service kategorisiyle göndermek. Meta reject + IYS ihlali çift problem.

3. Veri silme talebine 31. günde cevap. Bot otomatik tespit ettiği için unutmamalı; agent panelinde "deletion_pending" filter görünür.

4. WhatsApp Business Personel uygulamasıyla broadcast. API-only WABA'da template + onaylı broadcast var; Personal uygulama trafiğinden bot mesajları → tespit edilirse hesap askıya alınır.

5. Çoklu numara aynı tenant'a paralel. Meta tek tenant başına 1 WABA. 5 numara isteyene ayrı tenant + ayrı sub setup gerekir.

Sonuç

Türkiye'de WhatsApp pazarlama compliance basit değil ama otomasyon ile yönetilebilir. LeadsUp 7 kontrolden geçirip canlıya alıyor. Manuel checklist takip yerine sistem güvenliği sağlanır.

Compliance check başlat (signup sonrası).